[IMPORTANTE] Una Patch mette in ginocchio Debian

[SiDer]

Per chi ancora non lo sapesse vi riporto quanto accaduto in queste ore:

In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.

Questo è quanto accaduto al pacchetto (http://packages.qa.debian.org/o/openssl.html) openssl in Debian, modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind. Peccato che la modifica abbia reso vulnerabili tutte le chiavi crittografiche generate su un’installazione di Debian Etch (e derivate,LINK: http://www.debian.org/security/2008/dsa-1571).

A seguire, le conseguenze in dettaglio e le soluzioni al problema.
Partiamo dalle conseguenze: le chiavi SSH/OpenVPN/DNSSEC e quelle utilizzate in certificati X.509 e connessioni SSL/TLS create su macchine Debian a partire dal 17 settembre 2006 (data dell’entrata del pacchetto incriminato in unstable) vanno considerate vulnerabili.

Per questo motivo, per potervi considerare al sicuro da eventuali attacchi, dovrete aggiornare il vostro sistema e, successivamente, rigenerare tutte le chiave da voi utilizzate. Uno script per verificare la sicurezza delle vostre chiavi è disponibile a questo indirizzo (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz) mentre la pagina di riferimento per il bug e per i suoi rimedi sarà disponibile qui:http://www.debian.org/security/key-rollover/ Anche sulla pagina del wiki dedicata ad SSL sono presenti informazioni aggiuntive su questo grave bug.

Bollettino sicurezza Debian: http://lists.debian.org/debian-security-announce/2008/msg00152.html

Fonte:http://www.ossblog.it/post/4099/una-patch-mette-in-ginocchio-debian

[tindal]

già
la notizia è di ieri, e non abbiamo fatto in tempo a mettere un post nel blog

in realtà la questione è un po' diversa da come descritto nel post che riporti: su planet debian se ne sta parlando molto diffusamente

In pratica, secondo i primi accertamenti, una patch del maintainer debian del pacchetto openssl risalente al 17/9/2006 avrebbe introdotto un bug che rende prevedibili le chiavi generate, esponendo ad attacchi di tipo man-in-the-middle o anche ad accessi non autorizzati in caso di accesso ssh con autenticazione tramite chiavi

risultano vulnerabili, oltre a debian, anche tutte le derivate, e per mettersi al riparo non è sufficiente aggiornare il pacchetto incriminato, ma è necessario ricreare tutte le chiavi create dal 17/9/06 in poi

non solo: oggi il bug è stato reso pubblico, ma nessuno può assicurare che non fosse stato scoperto prima da qualcuno con intenzioni non molto amichevoli, quindi sono da considerarsi insicure tutte le password che sono state digitate attraverso un servizio che si appoggia ad una chiave generata con openssl (ssh, OpenVPN, DNSSEC, certificati X.509 e SSL/TLS)

l'advisory contiene un link ad un validatore di chiavi, che è in grado di stabilire se una chiave è robusta o meno, contenuto anche nel nuovo pacchetto distribuito via security

inoltre, il nuovo pacchetto openssl dipende da una nuova versione di openssh, che comprende una blacklist che impedisce l'accesso da parte di tutti i sistemi la cui chiave è giudicata debole: in pratica se la chiave è robusta l'accesso è comunque garantito, mentre non in tutti i casi è possibile stabilire se la chiave è debole o meno, quindi ci possono essere sistemi affetti dal problema che continueranno a poter accedere

tra i commenti apparsi, quello che ho trovato più interessante è di Eric Shubert, che sostiene che in realtà la patch incriminata era stata discussa con gli sviluppatori upstream, e nessuno si era accorto di nulla:

http://marc.info/?l=openssl-dev&m=114651085826293&w=2

e poi riflette sul fatto che in realtà openssl potrebbe soffrire ugualmente del problema, e che la patch debian l'ha solo aggravato, dal momento che in ogni caso la fonte di entropia per generare le chiavi in modo completamente casuale, in realtà è semplicemente una zona di memoria non inizializzata (combinata con un pid e non so che altro): in pratica ad un attaccante basterebbe inizializzare quella zona di memoria con qualche dato a lui noto per predire una chiave generata

certo che per fare una cosa simile serve un accesso locale e bisogna trovare il modo per scrivere in quell'area di memoria, quindi il livello di sicurezza dovrebbe essere comunque relativamente elevato, però il problema rimane: la patch debian avrebbe essenzialmente fatto da evento scatenante per rivelare un problema già esistente

ciao
tindal

[tindal]

qui c'è un altro commento molto interessante:

http://www.aigarius.com/blog/2008/05/14/too-similar-to-be-different/

ciao
tindal

[SiDer]

Ti ringrazio per aver fornito ulteriori dettagli e link aggiuntivi in merito...

[marbel]

grazie all'aiuto di tindal, la notizia è anche sul blog. eventuali sviluppi e aggiornamenti possono essere segnalati anche utilizzando i commenti del blog stesso.
http://blog.debianizzati.org/2008/05/14/debian-security-advisorydsa-1571-1-openssl-prevedibile-generatore-di-numeri-casuali/

nel blog, quando non si riesce per questioni di tempo ad approfondire le notizie sui bug, c'è un'apposita sezione: Debian Security, che via rss aggiorna in tempo reale sulle comunicazioni ufficiali dei vari bug che vengono segnalati.

[HomerCube]

Vorrei, recitando ma non troppo la parte del tontolone di turno, chiedere un chiarimento ai presenti. Si è sottolineato che non basta installare le versioni aggiornate dei pacchetti compromessi, ma occorre anche rigenerare tutte le chiavi in uso. Il punto è: io non so se e quante chiavi sto, esplicitamente od implicitamente, utilizzando (ora come ora non mi loggo ad altre postazioni usando chiavi SSL), quindi come faccio a sapere cosa, come e dove fare esattamente? In altre parole, quali comandi dovrei istanziare, ed in che modo posso sapere dove andare a guardare per poter dire con certezza se tutte le potenziali falle sono state sanate?
Per caso dovrebbe far fede ciò che questo script ritorna come output? Lo chiedo perché l'ho provato in ufficio su un PC con Sidux (derivata Debian) ottenendo:

Codice:

# ./dowkd.pl host
usage: ssh-keyscan [-46Hv] [-f file] [-p port] [-T timeout] [-t type]
                   [host | addrlist namelist] [...]
usage: ssh-keyscan [-46Hv] [-f file] [-p port] [-T timeout] [-t type]
                   [host | addrlist namelist] [...]
Use of uninitialized value in pattern match (m//) at ./dowkd.pl line 200.
Use of uninitialized value in pattern match (m//) at ./dowkd.pl line 201.
Use of uninitialized value in concatenation (.) or string at ./dowkd.pl line 203.
Use of uninitialized value in concatenation (.) or string at ./dowkd.pl line 209.
: warning: unparsable line
Use of uninitialized value in pattern match (m//) at ./dowkd.pl line 200.
Use of uninitialized value in pattern match (m//) at ./dowkd.pl line 201.
Use of uninitialized value in concatenation (.) or string at ./dowkd.pl line 203.
Use of uninitialized value in concatenation (.) or string at ./dowkd.pl line 209.
: warning: unparsable line

il che non mi tranquillizza

[SoWhat]

penso che tu debba specificare l'host, tipo

Codice:

./dowkd.pl host indirizzo-host

[HomerCube]

Grazie, ora va meglio:

Codice:

# ./dowkd.pl host localhost
# localhost SSH-2.0-OpenSSH_4.7p1 Debian-8
# localhost SSH-2.0-OpenSSH_4.7p1 Debian-8
localhost: weak key
localhost: weak key

anche se non mi dice granché sul cosa fare dopo... :'(

[tindal]

ecco le istruzioni per chi ha un server ssh (dpkg -l |grep ssh)

Codice:

# mv /etc/ssh/ssh_host_{dsa,rsa}_key* /some/place/else
# dpkg-reconfigure -plow openssh-server

questi sono i pacchetti da aggiornare, gli altri pacchetti installati che dipendono da openssl verranno aggiornati automaticamente:
- openssl
- libssl0.9.8
- libssl-dev

la lista completa, abbastanza impressionante, dei pacchetti che usano chiavi ssl, con le relative istruzioni per ogni pacchetto

http://wiki.debian.org/SSLkeys

una piccola nota su quanto sono deboli queste chiavi: molto
tanto che pare che sia possibile scoprirle in circa 20 minuti

ciao
tindal

[metaldaze]

Oggi facendo un upgrade della mia Lenny è stato aggiornato il pacchetto openssh-server con il quale si dovrebbe essere abbastanza al sicuro, almeno credo.
Nel changelog si legge

openssh (1:4.7p1-9) unstable; urgency=critical

  * Fill in CVE identifier for security vulnerability fixed in 1:4.7p1-8.
  * Mitigate OpenSSL security vulnerability (CVE-2008-0166):
    - Add key blacklisting support. Keys listed in
      /etc/ssh/blacklist.TYPE-LENGTH will be rejected for authentication by
      sshd, unless "PermitBlacklistedKeys yes" is set in
      /etc/ssh/sshd_config.
    - Add a new program, ssh-vulnkey, which can be used to check keys
      against these blacklists.
    - Depend on openssh-blacklist.
    - Force dependencies on libssl0.9.8 / libcrypto0.9.8-udeb to at least
      0.9.8g-9.
    - Automatically regenerate known-compromised host keys, with a
      critical-priority debconf note. (I regret that there was no time to
      gather translations.)

[dariodeb]

ecco le istruzioni per chi ha un server ssh (dpkg -l |grep ssh)

Codice:

# mv /etc/ssh/ssh_host_{dsa,rsa}_key* /some/place/else
# dpkg-reconfigure -plow openssh-server

questi sono i pacchetti da aggiornare, gli altri pacchetti installati che dipendono da openssl verranno aggiornati automaticamente:
- openssl
- libssl0.9.8
- libssl-dev

la lista completa, abbastanza impressionante, dei pacchetti che usano chiavi ssl, con le relative istruzioni per ogni pacchetto

http://wiki.debian.org/SSLkeys

una piccola nota su quanto sono deboli queste chiavi: molto
tanto che pare che sia possibile scoprirle in circa 20 minuti

ciao
tindal

scusami Tindal ma lo spostamento preliminare delle chiavi è assolutamente necessario?

Io avrei aggiornato grazie ai security updates, i servizi sono stati riavviati generando le nuove chiavi. Poi sono state sostituite le chiavi utente dei client:

Codice:

$ mv ~/.ssh/known_hosts someplace
$ ssh utente@remotehost

riutilizzando lo script (che segnalava l'esistenza di chiavi deboli) ora sembra tutto ok.

[MaXeR]

viene installato anche un pacchetto (che si chiama openssh-blacklist) che contiene un elenco (sono due file da 2 Mb) di chiavi non sicure! quindi si rende necessario un dist-upgrade piuttosto di un upgrade

[dariodeb]

Grazie MaXer,
ho controllato e ce l'ho. Aptitude lo ha installato come dipendenza di openssl-server.

ciao

[tindal]

scusami Tindal ma lo spostamento preliminare delle chiavi è assolutamente necessario?

se la directory contiene solo le chiavi del tuo sistema direi di no, comunque fai presto a controllare: basta un "ls -l" per vedere la data di creazione dei file contenuti nella dir: se sono tutti più recenti dell'aggiornamento sei a posto

onestamente non so se in quella dir in qualche circostanza vengono messe altre chiavi, oltre a quelle del sistema: eventuali altre chiavi potrebbero essere insicure e non verrebbero toccate nella riconfigurazione di ssh

un altro motivo per tenerle da qualche parte è che alcuni impostano ssh in modo che faccia l'autenticazione tramite chiavi, e aggiornandole si rischia di restare chiusi fuori dal sistema: spostarle equivale a tenerne una copia di riserva, nel caso si fossero sbagliati i conti e fosse necessario ripristinare momentaneamente l'autenticazione con la vecchia chiave

ciao
tindal